مقدمة

يوم واحد، والطلاب مقتنع بعمق ليو، مكتب مع العديد من سنوات الخبرة في مجال المخضرم الطوارئ، كالعادة مشغول والماهرة المختلفة لإدارة الطوارئ الأمنية في منطقتك. فجأة، والعملاء للحصول على المساعدة، قائلا تصور مقتنع بعمق من المنتجات الأمنية بالكشف عن التهديد شذوذ يتطلب التخلص تساعد في التحليل.

0 01 طلاب ليو

طلاب ليو فتح منصة التوعية بالسلامة، والعثور على المضيف المقابل، وجد التقرير أن التعدين العملة الافتراضية. طلاب ليو يبتسم والتعدين اكتشاف ما يقرب من 100 من الدقة، والاستيلاء على فيروس التعدين الصغيرة، كما هو الحال مع Daguai اليومي البسيط.

ولكن الشيء التالي، وكسر الطلاب ليو المعرفي، وعيناه أعمى تقريبا لنرى.

انظر عيون العميان 0 02

هذا هو خادم لينكس، والطلاب ليو من خلال الأمر ملاحظة لتحديد موقع بسهولة عملية التعدين، ولكن الشيء القادم ليست سهلة، حاول مجموعة متنوعة من الطرق، لا تزال لا يمكن العثور على الملف المقابلة لعملية التعدين.

هذه الظاهرة غير عقلانية، حتى انه حير حتى الفيروس اشتباه الجذور الخفية، ولكن في محاولة أداة الجذور الخفية المسح، لا يزال شيئا.

عملية المقابلة لنقطة ملف التعدين لاثنين، واحد هو / البيرة / دليل / اباتشي، هو واحد /tmp/.ICE-unix/. ./M.

ولكن بغض النظر عن ما كان الأوامر، واحدا تلو الآخر rc.d حتى التحقق، كرونتاب، الحرف الأول يبدأ بعد مجموعة متنوعة من العناصر، والبحث في دليل مؤقت، دليل المستخدم، وأنواع بالطبع ...... تنفق الكثير من الوقت، والانتظار دون جدوى، حتى لو كان لا يمكن العثور عليه ملف الفيروس.

مؤتمر نزع السلاح في دليل المقابلة، ليرة سورية استخدام بمكة لم نر أي من الملفات المشبوهة، وليس من المفترض أن يكون-حذف النفس.

عندما الطلاب ليو لطلب المساعدة من المقر، وقال انه "كان أعمى"!

0 03 ويندوز فيستا

تلقى فريق الأمن مقر EDR طلب المساعدة عندما لا يزال هناك الكثير من الضغط، ولكن أيضا يوحد خبراء الأمن للمشاركة في تحليل الأمن على علم بها.

طلاب ليو كان على موظفي الطوارئ المهرة، وجعل له "نظرة أعمى"، وليس كثيرا قد تكون المياه العميقة نسبيا.

بعد مقر خبراء أمن الوصول عن بعد، وأيضا وفقا للمعلومات المقدمة من قبل الطلاب ليو، واحدا تلو الآخر إلى تأكيد، كما لم تجد معلومات صحيحة.

بعد ذلك، دافا مباشرة إلى الذاكرة عملية التعدين تفريغ لمراقبة سلسلة الرئيسية.

استخدام سلاسل -n 8 من السلاسل التصفية، راجع ما يلي:

هذا أثار يقظتنا، شعرت دائما حيث لا.

نعيد cd لل/tmp/.ICE-unix/، مرة أخرى باستخدام ليرة سورية بمكة ترى كل ملف الدليل.

توقف هنا (على الخريطة)، فمن المحتمل أن توجد الدقائق القليلة جيدة لالتحديق، وخسر في الفكر ......

فجأة، نظرة شرسة مرة أخرى، وجاءت أدلة بها، على ما يبدو ليس حرف. على وجهة نظر دقيق الملاحظة (تضخيم عدة مرات عمدا في وقت متأخر)، السطر الثالث، لا على ما يبدو، في نقطتين "الفراغ" قليلا "كبير" من ذلك الآخر أن Diudiu (الحاكم جلب عظيم ، ملليمتر البصرية).

الواجهة البعيدة الحقيقية، الخطوط عادة ما تكون صغيرة جدا، ما سبق هو صورة طبيعية (كبير خط الشاشة الصغيرة)، بالإضافة إلى خلفية سوداء هنا في وقت متأخر لتعكس الفرق. هكذا، في كل مرة تدخل إلى هذا الدليل، فإن الطلاب ليو التفكير بطبيعة الحال أن فقط "." و ".." كما يعلم الجميع، هناك ".." (بين نقطتين هناك مسافة).

وهناك نقطة هو الدليل الحالي، الدليل الأصل هو نقطتين بفارق نقطتين بالإضافة إلى المساحات هي دليل جديد.

أبعد من ذلك ذاكرة بدوره، تفريغ، مما تسبب في خط لتنبيه لنا، واعتقدت الظهر، رمز ASCII 40 الذي يمثل آه الفضاء!

0 04 تحليل عينة

للدخول إلى مجلد التناقض، وليس مباشرة مؤتمر نزع السلاح .. (لاحظ أن هناك مسافة بين هاتين النقطتين)، تتطلب القرص المضغوط ".."، وهذا هو، إضافة علامة اقتباس مزدوجة، لمنعه من الهرب.

المجلد بجانب ما مجموعه 10 ملفات، حيث س، لذلك، ش، ص هو السيناريو الخبيثة،؟، B، C، D، H، و M الملفات القابلة للتنفيذ الخبيثة.

تدفق تنفيذ خ - >  و- >  ش - >  ص - >  ح (إخفاء وتشغيل م) - >  م (التعدين)، من أجل أداء والتعدين الحقيقي، حول دائرة كبيرة.

السيناريو دخول س (# شهد كل من الأحرف التالية، نحن أواخر ملاحظات)

وهناك سيناريو الإفراج

واضح ش النصي

بدء التشغيل النصي ص، كما هو مبين أدناه، فإن مسار العملية ولكن المقنعة أيضا باسم / البيرة / دليل / اباتشي، بل هو مسار غير موجود.

عملية ./h تكون مستترة أداة XHide، على الانترنت كود مفتوح المصدر أن / البيرة / دليل / اباتشي المسار XHide تمويه.

مبدأ بسيط جدا، مكالمة execv خلق عملية الهدف.

التعدين الفيروس هو المصدر المفتوح xmrig، بدأ التعدين عنوان محفظة قراءة من config.json في.

من أجل القيام الخفية، والمتسكعين فعلت بعض النصائح، واحد هو بالعين الجمود البصرية المجردة والتعب، وإنشاء دليل محسوس بصريا، حيلة أخرى هي استخدام Xhide أدوات القرصنة تخفي موقع الملف الذي لا وجود له في / البيرة / دليل / اباتشي، وضعت قنبلة دخان.

التفكير في هذه النصائح قراصنة تفعل، خدع بل لغالبية الناس، كما لعبت سلسلة صغيرة ولكنها قوية من الآثار!

0 05 تتبعت

مخفي الجذور لأن لدينا حفر، وغزو السبب في ذلك؟

لقد وجدنا أدلة ظاهرة في / فار / سجل / سجل آمن بين سجل الأمان نظام لينكس لتغييرات المستخدم ومجموعة قياسية، ومصادقة تسجيل دخول المستخدم، فشل المصادقة أن عددا كبيرا من السجلات.

مصدر عنوان IP XX حاول الكثير من اسم المستخدم وكلمة المرور مختلفة. من استمرت 23 صباحا، واسم المستخدم هو محاولة لترتيب النتائج بحسب الطابع، إلى درجة الصباح XX XX XX مرة ثانية دقيقة ناجحة التفجير.

ملخص 0 06 الظهر

هنا، نستعرض مرة أخرى عن الحادث. لشيء واحد، قام المستخدم القيام به بشكل جيد، فإنها تشعر بالقلق إزاء المفهوم من الحوادث الأمنية مقتنع بعمق من منصة سلامة، في استبعاد الأمن في وقت مبكر جدا المخاطر.

التعدين الفيروس حاليا معظم أحداث الأمان شعبية فيروس، مقتنع بعمق النظرة السلامة لديها ما يقرب من 100 دقة لهذا النوع من الفيروس.

وبالإضافة إلى ذلك، فمن المستحسن لتعزيز أمن خط الأساس المضيف لينكس، وزيادة تعقيد سياسات تأمين كلمة المرور والحساب.

نقطة أخرى هنا، إذا قمت بنشر منصة مقتنع بعمق استجابة الكشف محطة (EDR)، ثم يمكن للمستخدم قتل مباشرة المضيف للإنذار، دون تدخل بشري، لتحقيق التخلص السريع. لاخفاء بالعين المجردة من الصعب العثور على مكان، يجب أن يكون الوصول إليها لتنظيف! تقلق أبدا "الأعمى" ل.

0 07 يرتبط اللجنة الأولمبية الدولية

BBD807BCC2596FD7EEC38BFCBED9F5A5

60103B3D5FD524BBDA4682E5B0C6560E

* الكاتب: استبصار الأمن مختبرات، يرجى الإشارة من FreeBuf.COM